Agencia Estatal Boletín Oficial del Estado

(1)

De conformidad con los requisitos esenciales establecidos en el anexo II, punto 3.1, letra b), del Reglamento (UE) 2018/1139, las organizaciones de diseño y producción deben aplicar y mantener un sistema de gestión para gestionar los riesgos de seguridad.

(2)

Además, de conformidad con los requisitos esenciales establecidos en el anexo VII, puntos 2.2.1 y 5.2, del Reglamento (UE) 2018/1139, los operadores de aeródromos y las organizaciones responsables de proveer servicios de dirección de plataforma deben aplicar y mantener un sistema de gestión para gestionar los riesgos de seguridad.

(3)

Los riesgos de seguridad mencionados en los considerandos 1 y 2 pueden surgir de diferentes fuentes, tales como los defectos de diseño y mantenimiento, los aspectos relacionados con el factor humano y las amenazas al medio ambiente y a la seguridad de la información. Por lo tanto, los sistemas de gestión que aplican las organizaciones mencionadas en los considerandos 1 y 2 deben tener en cuenta no solo los riesgos para la seguridad cuyo origen se encuentre en hechos fortuitos, sino también aquellos derivados de amenazas a la seguridad de la información, si los defectos existentes pueden ser aprovechados por individuos que actúen de mala fe. Estos riesgos relacionados con la seguridad de la información aumentan constantemente en el entorno de la aviación civil, ya que los sistemas de información actuales están cada vez más interconectados y se están convirtiendo con mayor frecuencia en el objetivo de este tipo de individuos.

(4)

Los riesgos asociados a estos sistemas de información no se limitan a posibles ataques al ciberespacio, sino que abarcan también las amenazas que pueden afectar a los procesos y procedimientos, así como a la actuación de los seres humanos.

(5)

Un número significativo de organizaciones ya utilizan normas internacionales, como la ISO 27001, para ocuparse de la seguridad de la información y los datos digitales. Es posible que estas normas no traten en su totalidad las especificidades de la aviación civil.

(6)

Por lo tanto, conviene establecer requisitos para la gestión de los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea.

(7)

Es esencial que estos requisitos cubran los distintos ámbitos de la aviación y sus interfaces, ya que la aviación es un sistema de sistemas altamente interconectado. Por lo tanto, deben aplicarse a todas las organizaciones que ya están obligadas a disponer de un sistema de gestión de conformidad con la legislación vigente en materia de seguridad aérea de la Unión.

(8)

Los requisitos establecidos en el presente Reglamento deben aplicarse de manera coherente en todos los ámbitos de la aviación, generando al mismo tiempo un impacto mínimo sobre la legislación en materia de seguridad aérea de la Unión ya aplicable a dichos ámbitos.

(9)

Los requisitos establecidos en el presente Reglamento deben entenderse sin perjuicio de los requisitos en materia de seguridad de la información y ciberseguridad establecidos en el punto 1.7 del anexo del Reglamento de Ejecución (UE) 2015/1998 de la Comisión (2) y en el artículo 14 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (3).

(10)

La definición de «seguridad de la información» utilizada a efectos del presente acto jurídico no debe interpretarse como distinta de la definición de seguridad de las redes y sistemas de información establecida en la Directiva 2016/1148.

(11)

A fin de evitar la duplicación de los requisitos legales, cuando las organizaciones cubiertas por el presente Reglamento ya estén sujetas a requisitos de seguridad derivados de los otros actos de la Unión mencionados en el considerando 9 que sean, en cuanto a su efecto, equivalentes a las disposiciones establecidas en el presente Reglamento, debe considerarse que el cumplimiento de aquellos requisitos de seguridad equivale al cumplimiento de los requisitos establecidos en el presente Reglamento.

(12)

Las organizaciones cubiertas por el presente Reglamento que ya estén sujetas a los requisitos de seguridad derivados del Reglamento (UE) 2015/1998 deben cumplir asimismo los requisitos del anexo I (parte IS.D.OR.230, «Sistema externo de notificación sobre seguridad de la información») del presente Reglamento, ya que el Reglamento de Ejecución (UE) 2015/1998 no contiene ninguna disposición relativa a la notificación externa de incidentes relacionados con la seguridad de la información.

(13)

Los Reglamentos (UE) n.o 748/2012 (4) y (UE) n.o 139/2014 (5) de la Comisión deben modificarse a fin de establecer el vínculo entre los sistemas de gestión prescritos en los Reglamentos antes citados y los requisitos de gestión de la seguridad de la información prescritos en el presente Reglamento.

(14)

A fin de que las organizaciones dispongan de tiempo suficiente para garantizar el cumplimiento de las nuevas normas y procedimientos introducidos por el presente Reglamento, este debe aplicarse una vez transcurridos tres años desde su fecha de entrada en vigor.

(15)

Los requisitos establecidos en el presente Reglamento se basan en el Dictamen n.o 03/2021 (6), emitido por la Agencia de conformidad con el artículo 75, apartado 2, letras b) y c), y el artículo 76, apartado 1, del Reglamento (UE) 2018/1139.

(16)

De conformidad con el artículo 128, apartado 4, del Reglamento (UE) 2018/1139, la Comisión consultó a los expertos designados por cada Estado miembro de acuerdo con los principios establecidos en el Acuerdo interinstitucional, de 13 de abril de 2016, sobre la mejora de la legislación (7).

a)

organizaciones de producción y organizaciones de diseño sujetas a las subpartes G y J de la sección A del anexo I (parte 21) del Reglamento (UE) n.o 748/2012, excepto las organizaciones de diseño y de producción que participan exclusivamente en el diseño o la producción de aeronaves ELA2, tal como se definen en el artículo 1, apartado 2, letra j), del Reglamento (UE) n.o 748/2012;

b)

operadores de aeródromos y proveedores de servicios de dirección de plataforma sujetos al anexo III, «Parte relativa a los requisitos de las organizaciones (Parte ADR.OR)», del Reglamento (UE) n.o 139/2014.

1)

«seguridad de la información»: la preservación de la confidencialidad, integridad, autenticidad y disponibilidad de las redes y sistemas de información;

2)

«evento de seguridad de la información»: un suceso detectado en el estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información o un fallo de los controles de seguridad de la información, o una situación desconocida hasta ese momento que puede tener importancia para la seguridad de la información;

3)

«incidente»: todo hecho que tenga efectos adversos en la seguridad de las redes y sistemas de información, tal como se define en el artículo 4, apartado 7, de la Directiva (UE) 2016/1148;

4)

«riesgo relacionado con la seguridad de la información»: el riesgo que implica la posibilidad de que se produzca un evento de seguridad de la información para las operaciones organizativas de la aviación civil, los activos, las personas y otras organizaciones; los riesgos relacionados con la seguridad de la información están asociados a la posibilidad de que las amenazas se aprovechen de las vulnerabilidades de un activo o grupo de activos de información;

5)

«amenaza»: una posible violación de la seguridad de la información que existe desde el momento en que una entidad, circunstancia, acción o hecho puede ocasionar daños;

6)

«vulnerabilidad»: defecto o debilidad presente en un activo o un sistema, en los procedimientos, en el diseño, en la aplicación o en las medidas de seguridad de la información que podría aprovecharse y dar lugar a un fallo o una violación de la política de seguridad de la información.

a)

en lo que respecta a las organizaciones contempladas en el artículo 2, letra a), la autoridad competente designada de conformidad con el anexo I (parte 21) del Reglamento (UE) n.o 748/2012;

b)

en lo que respecta a las organizaciones contempladas en el artículo 2, letra b), la autoridad competente designada de conformidad con el anexo III (parte ADR.OR) del Reglamento (UE) n.o 139/2014.

1)

El índice se modifica como sigue:

2)

Tras el punto 21.A.139, se inserta el punto 21.A.139A siguiente:

Además del sistema de gestión de la producción exigido en el punto 21.A.139, la organización de producción deberá establecer, implantar y mantener un sistema de gestión de la seguridad de la información de conformidad con el Reglamento Delegado (UE) 2022/1645 de la Comisión (*1) a fin de garantizar una gestión adecuada de los riesgos relacionados con la seguridad de la información que puedan repercutir en la seguridad aérea.

(*1)  Reglamento Delegado (UE) 2022/1645 de la Comisión, de 14 de julio de 2022, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo en lo que se refiere a los requisitos relativos a la gestión de los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea destinados a las organizaciones contempladas en los Reglamentos (UE) n.o 748/2012 y (UE) n.o 139/2014 de la Comisión, y por el que se modifican los Reglamentos (UE) n.o 748/2012 y (UE) n.o 139/2014 de la Comisión (DO L 248 de 26.9.2022, p. 18).»."

3)

Tras el punto 21.A.239, se inserta el punto 21.A.239A siguiente:

Además del sistema de gestión del diseño exigido en el punto 21.A.239, la organización de diseño deberá establecer, implantar y mantener un sistema de gestión de la seguridad de la información de conformidad con el Reglamento Delegado (UE) 2022/1645 a fin de garantizar una gestión adecuada de los riesgos relacionados con la seguridad de la información que puedan repercutir en la seguridad aérea.».

1)

Tras el punto ADR.OR.D.005, se inserta el punto ADR.OR.D.005A siguiente:

El operador del aeródromo deberá establecer, implantar y mantener un sistema de gestión de la seguridad de la información de conformidad con el Reglamento Delegado (UE) 2022/1645 de la Comisión (*2) a fin de garantizar una gestión adecuada de los riesgos relacionados con la seguridad de la información que puedan repercutir en la seguridad aérea.

(*2)  Reglamento Delegado (UE) 2022/1645 de la Comisión, de 14 de julio de 2022, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo en lo que se refiere a los requisitos relativos a la gestión de los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea destinados a las organizaciones contempladas en los Reglamentos (UE) n.o 748/2012 y (UE) n.o 139/2014 de la Comisión, y por el que se modifican los Reglamentos (UE) n.o 748/2012 y (UE) n.o 139/2014 de la Comisión (DO L 248 de 26.9.2022, p. 18).»."

2)

El punto ADR.OR.D.007 se sustituye por el texto siguiente:

3)

Tras el punto ADR.OR.F.045, se inserta el punto ADR.OR.F.045A siguiente:

La organización responsable de la prestación de SDP deberá establecer, implantar y mantener un sistema de gestión de la seguridad de la información de conformidad con el Reglamento Delegado (UE) 2022/1645 a fin de garantizar una gestión adecuada de los riesgos relacionados con la seguridad de la información que puedan repercutir en la seguridad aérea.».

IS.D.OR.100

IS.D.OR.200

IS.D.OR.205

IS.D.OR.210

IS.D.OR.215

IS.D.OR.220

IS.D.OR.225

IS.D.OR.230

IS.D.OR.235

IS.D.OR.240

IS.D.OR.245

IS.D.OR.250

IS.D.OR.255

IS.D.OR.260

a)

A fin de alcanzar los objetivos establecidos en el artículo 1, la organización creará, implantará y mantendrá un sistema de gestión de la seguridad de la información (SGSI) que garantice que la organización:

b)

A fin de cumplir ininterrumpidamente los requisitos contemplados en el artículo 1, la organización aplicará un proceso de mejora continua de conformidad con el punto IS.D.OR.260.

c)

La organización documentará, de conformidad con el punto IS.D.OR.250, todos los procesos, procedimientos, funciones y responsabilidades clave necesarios para cumplir lo dispuesto en el punto IS.D.OR.200, letra a), y establecerá un proceso para modificar dicha documentación. Los cambios que se produzcan en esos procesos, procedimientos, funciones y responsabilidades se gestionarán de conformidad con el punto IS.D.OR.255.

d)

Los procesos, procedimientos, funciones y responsabilidades establecidos por la organización para cumplir lo dispuesto en el punto IS.D.OR.200, letra a), corresponderán a la naturaleza y complejidad de sus actividades, sobre la base de una evaluación de los riesgos relacionados con la seguridad de la información inherentes a dichas actividades, y podrán integrarse en otros sistemas de gestión ya implantados por la organización.

e)

Sin perjuicio de la obligación de cumplir los requisitos de información establecidos en el Reglamento (UE) n.o 376/2014 del Parlamento Europeo y del Consejo (1) y los requisitos del punto IS.D.OR.200, letra a), punto 13, la autoridad competente podrá permitir que la organización no aplique los requisitos a que se refieren las letras a) a d), así como los requisitos relacionados que contienen los puntos IS.D.OR.205 a IS.D.OR.260, si demuestra a satisfacción de dicha autoridad que sus actividades, instalaciones y recursos, así como los servicios que gestiona, presta, recibe y mantiene, no plantean ningún riesgo relacionado con la seguridad de la información que pueda repercutir en la seguridad aérea, ni para ella misma ni para otras organizaciones. La aprobación se basará en una evaluación del riesgo relacionado con la seguridad de la información documentada y realizada por la organización o un tercero de conformidad con el punto IS.D.OR.205 y revisada y aprobada por su autoridad competente.

El mantenimiento de la validez de dicha aprobación será revisado por la autoridad competente tras el ciclo de auditoría de supervisión aplicable y cada vez que se introduzcan cambios en el ámbito de trabajo de la organización.

a)

La organización determinará, entre todos sus elementos, cuáles pueden estar expuestos a riesgos relacionados con la seguridad de la información. Esto incluirá:

b)

La organización identificará las interfaces que tiene con otras organizaciones y que podrían dar lugar a una exposición mutua a riesgos relacionados con la seguridad de la información.

c)

Por lo que respecta a los elementos e interfaces a que se refieren las letras a) y b), la organización determinará los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea. Para cada riesgo identificado, la organización:

La clasificación predefinida a que se refiere el punto 1 tendrá en cuenta el potencial para que suceda el escenario de amenaza y la gravedad de sus consecuencias para la seguridad. Atendiendo a dicha clasificación, y teniendo en cuenta si la organización tiene un proceso de gestión de riesgos estructurado y repetible para las operaciones, la organización deberá ser capaz de establecer si el riesgo es aceptable o debe tratarse de conformidad con el punto IS.D.OR.210.

A fin de facilitar la comparabilidad mutua de las evaluaciones de riesgos, la asignación del nivel de riesgo con arreglo al punto 1 tendrá en cuenta la información pertinente obtenida en coordinación con las organizaciones a que se refiere la letra b).

d)

La organización revisará y actualizará la evaluación de riesgos efectuada de conformidad con las letras a), b) y c) en cualquiera de las situaciones siguientes:

a)

La organización elaborará medidas para hacer frente a los riesgos inaceptables detectados de conformidad con el punto IS.D.OR.205, las aplicará a su debido tiempo y comprobará que siguen siendo eficaces. Dichas medidas permitirán a la organización:

Dichas medidas no introducirán nuevos riesgos potenciales para la seguridad aérea que resulten inaceptables.

b)

La persona a que se refiere el punto IS.D.OR.240, letras a) y b), y el resto del personal afectado de la organización serán informados del resultado de la evaluación de riesgos efectuada de conformidad con el punto IS.D.OR.205, los escenarios de amenaza correspondientes y las medidas que deban aplicarse.

La organización también informará a las organizaciones con las que tenga una interfaz de conformidad con el punto IS.D.OR.205, letra b), de cualquier riesgo compartido por ambas organizaciones.

a)

La organización establecerá un sistema interno de notificación que permita la recopilación y evaluación de eventos de seguridad de la información, incluidos los que deben notificarse con arreglo al punto IS.D.OR.230.

b)

Dicho sistema y el proceso a que se refiere el punto IS.D.OR.220 permitirán a la organización:

c)

Toda organización contratada que pueda exponer a la organización a riesgos relacionados con la seguridad de la información con posibles repercusiones sobre la seguridad aérea deberá notificar a la organización los eventos de seguridad de la información. Dichos informes se presentarán utilizando los procedimientos establecidos en los acuerdos contractuales específicos y se evaluarán de conformidad con la letra b).

d)

La organización cooperará en las investigaciones con cualquier otra organización que contribuya significativamente a la seguridad de la información de sus propias actividades.

e)

La organización podrá integrar ese sistema de notificación en otros sistemas de notificación que ya haya implantado.

a)

Sobre la base del resultado de la evaluación de riesgos efectuada de conformidad con el punto IS.D.OR.205 y del resultado del tratamiento de los riesgos realizado de conformidad con el punto IS.D.OR.210, la organización aplicará medidas para detectar incidentes y vulnerabilidades que indiquen la posible materialización de riesgos inaceptables y que puedan repercutir sobre la seguridad aérea. Estas medidas de detección permitirán a la organización:

b)

La organización aplicará medidas para responder a cualquier situación identificada de conformidad con la letra a) que pueda evolucionar o haber evolucionado hasta convertirse en un incidente relacionado con la seguridad de la información. Estas medidas de respuesta permitirán a la organización:

c)

La organización aplicará medidas destinadas a recuperarse de incidentes relacionados con la seguridad de la información, incluidas medidas de emergencia, en caso necesario. Estas medidas de recuperación permitirán a la organización:

a)

Tras la recepción de la notificación de incidencias presentada por la autoridad competente, la organización:

b)

Las acciones a que se refiere la letra a) se llevarán a cabo en el plazo acordado con la autoridad competente.

a)

La organización aplicará un sistema de notificación en materia de seguridad de la información que cumpla los requisitos establecidos en el Reglamento (UE) n.o 376/2014 y sus actos delegados y de ejecución, si dicho Reglamento es aplicable a la organización.

b)

Sin perjuicio de las obligaciones del Reglamento (UE) n.o 376/2014, la organización se asegurará de que se informe a su autoridad competente de cualquier incidente o vulnerabilidad en materia de seguridad de la información que pueda representar un riesgo significativo para la seguridad aérea. Además:

c)

La organización notificará las condiciones a que se refiere la letra b) del siguiente modo:

a)

La organización se asegurará de que, al contratar cualquier parte de las actividades mencionadas en el punto IS.D.OR.200 a otras organizaciones, las actividades contratadas cumplan los requisitos del presente Reglamento y la organización contratada trabaje bajo su supervisión. La organización velará por que los riesgos asociados a las actividades contratadas se gestionen adecuadamente.

b)

La organización garantizará que la autoridad competente pueda tener acceso, previa solicitud, a la organización contratada para determinar si sigue cumpliendo los requisitos aplicables establecidos en el presente Reglamento.

a)

El gestor responsable de la organización o, en el caso de las organizaciones de diseño, el responsable de la organización de diseño, designados de conformidad con el Reglamento (UE) n.o 748/2012 y el Reglamento (UE) n.o 139/2014, tal como se establece en el artículo 2, punto 1, letras a) y b), del presente Reglamento, tendrá autoridad corporativa para garantizar que todas las actividades exigidas por el presente Reglamento puedan financiarse y llevarse a cabo. Dicha persona deberá:

b)

El gestor responsable o, en el caso de las organizaciones de diseño, el responsable de la organización de diseño, nombrará a una persona o grupo de personas que velarán por que la organización cumpla los requisitos del presente Reglamento, y definirá el alcance de su autoridad. Dicha persona o grupo de personas informará directamente al gestor responsable o, en el caso de las organizaciones de diseño, al responsable de la organización de diseño, y tendrá los conocimientos, la formación y la experiencia adecuados para ejercer sus responsabilidades. En los procedimientos deberá determinarse quién sustituye a una persona determinada en caso de ausencia prolongada de esta.

c)

El gestor responsable o, en el caso de las organizaciones de diseño, el responsable de la organización de diseño, nombrará a una persona o grupo de personas con la responsabilidad de gestionar la función de control del cumplimiento mencionada en el punto IS.D.OR.200, letra a), punto 12.

d)

Si la organización comparte estructura organizativa, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con áreas de su propia organización que no formen parte de la aprobación o declaración, el gestor responsable o, en el caso de las organizaciones de diseño, el responsable de la organización de diseño podrá delegar sus actividades en una persona responsable común.

En tal caso, se establecerán medidas de coordinación entre el gestor responsable de la organización o, en el caso de las organizaciones de diseño, el responsable de la organización de diseño, y la persona responsable común para garantizar una integración adecuada de la gestión de la seguridad de la información en la organización.

e)

El gestor responsable o el responsable de la organización de diseño, o bien la persona responsable común a que se refiere la letra d), tendrá autoridad corporativa para establecer y mantener las estructuras organizativas, políticas, procesos y procedimientos necesarios para aplicar el punto IS.D.OR.200.

f)

La organización contará con un proceso que garantice que dispone de personal suficiente para llevar a cabo las actividades contempladas en el presente anexo.

g)

La organización contará con un proceso que garantice que el personal a que se refiere la letra f) tenga la competencia necesaria para llevar a cabo sus tareas.

h)

La organización contará con un proceso que garantice que el personal reconozca las responsabilidades asociadas a las funciones y tareas que tiene asignadas.

i)

La organización velará por que se establezca adecuadamente la identidad y la fiabilidad del personal que tenga acceso a los sistemas de información y a los datos sujetos a los requisitos del presente Reglamento.

a)

La organización conservará registros de sus actividades de gestión de la seguridad de la información.

b)

La organización llevará registros de la cualificación y experiencia del personal a su servicio que participe en actividades de gestión de la seguridad de la información.

c)

El formato de los registros se especificará en los procedimientos de la organización.

d)

Los registros deberán guardarse de forma que estén protegidos frente a daños, alteraciones y robo, y la información se clasificará, en caso necesario, de conformidad con su nivel de seguridad. La organización se asegurará de que los registros se almacenen utilizando métodos que garanticen la integridad, la autenticidad y el acceso autorizado.

a)

La organización pondrá a disposición de la autoridad competente un manual de gestión de la seguridad de la información (MGSI) y, en su caso, cualquier manual y procedimiento asociado referenciado que contenga:

b)

La autoridad competente aprobará la edición inicial del MGSI y conservará una copia. El MGSI se modificará según sea necesario para seguir constituyendo una descripción actualizada del SGSI de la organización. Se entregará a la autoridad competente una copia de las modificaciones introducidas en el MGSI.

c)

Las modificaciones del MGSI se gestionarán mediante un procedimiento establecido por la organización. Las modificaciones que no estén incluidas en el ámbito de este procedimiento, así como las modificaciones relacionadas con los cambios a que se refiere el punto IS.D.OR.255, letra b), serán aprobadas por la autoridad competente.

d)

La organización podrá integrar el MGSI con otras guías o manuales de gestión que posea, siempre que exista una referencia cruzada clara que indique qué partes de la guía o manual de gestión corresponden a los diferentes requisitos que figuran en el presente anexo.

a)

Los cambios en el SGSI podrán gestionarse y notificarse a la autoridad competente en un procedimiento elaborado por la organización. Este procedimiento deberá ser aprobado por la autoridad competente.

b)

Por lo que respecta a los cambios en el SGSI no cubiertos por el procedimiento a que se refiere la letra a), la organización solicitará y obtendrá una aprobación expedida por la autoridad competente.

Por lo que se refiere a estos cambios:

a)

La organización evaluará, utilizando indicadores de rendimiento adecuados, la eficacia y madurez del SGSI. Dicha evaluación se llevará a cabo con arreglo a un calendario predefinido por la organización o a raíz de un incidente de seguridad de la información.

b)

Si se detectan deficiencias tras la evaluación realizada de conformidad con la letra a), la organización adoptará las medidas de mejora necesarias para garantizar que el SGSI sigue cumpliendo los requisitos aplicables y mantiene los riesgos relacionados con la seguridad de la información a un nivel aceptable. Además, la organización reevaluará los elementos del SGSI afectados por las medidas adoptadas.